CentOS7 防火墙设置

1 firewall快餐品

1.1 查看firewall服务状态

systemctl status firewalld

1.2 查看firewall的状态

firewall-cmd --state

1.3 开启、重启、关闭、firewalld.service服务

（1）开启：systemctl start firewalld.service

（2）重启：systemctl restart firewalld.service

systemctl restart firewalld

（3）关闭：systemctl stop firewalld.service

1.4 查看防火墙规则：firewall-cmd --list-all

1.5 查询、开放、关闭端口

（1）查询已开放的全部端口：firewall-cmd --zone=public --list-ports

（2）查询端口：firewall-cmd --query-port=8080/tcp

（3）开放端口：firewall-cmd --permanent --add-port=8080/tcp

（4）关闭端口：firewall-cmd --permanent --remove-port=8080/tcp

（5）端口重载：firewall-cmd --reload

参数解释

1、firwall-cmd：Linux提供的操作firewall的一个工具；

2、--zone：指定作用域；

3、--permanent：表示设置为永久生效，没有该参数重启后会失效；

4、--add-port：标识添加的端口，格式为端口/协议；

1.6  重启防火墙

开放某一端口后，须防火墙端口重载：firewall-cmd --reload

2 firewall佳肴

2.1 防火墙区域概念与作用

防火墙的网络区域定义了网络连接的可信等级，可根据不同场景来调用不同的firewalld区域。

firewalld服务有两份规则策略配置记录，必须能够区分为：

（1）RunTime：当前正在生效的

（2）Permanent：永久生效的

2.2 查看当前的区域：firewall-cmd --get-default-zone

2.3 查询网卡的区域：firewall-cmd --get-zone-of-interface=eno16777736

2.4 在public中分别查询ssh与http服务是否被允许

（1）查询ssh：firewall-cmd --zone=public --query-service=ssh

（2）查询http：firewall-cmd --zone=public --query-service=http

2.5 实例：

（1）允许https服务流量通过public区域，要求立即生效且永久有效：

方法1：分别设置当前生效与永久有效的规则记录：

firewall-cmd --zone=public --add-service=https

firewall-cmd --permanent --zone=public --add-service=https

方法2：设置永久有效的规则记录后读取记录：

firewall-cmd --permanent --zone=public --add-service=https

firewall-cmd --reload

（2）不再允许http服务流量通过public区域，要求立即生效且永久生效：

firewall-cmd --permanent --zone=public --remove-service=http

firewall-cmd --reload

（3）允许8080与8081端口流量通过public区域，立即生效且永久生效：

firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp

firewall-cmd --reload

（4）查看模拟实验中的规则：

firewall-cmd --zone=public --list-services

firewall-cmd --zone=public --list-ports

（5）将访问主机888端口的请求转发至22端口：

firewall-cmd --permanent --zone=public --add-forward-port=888:proto=tcp:toport=22:toaddr=192.168.1.100

firewall-cmd --reload

（6）安装Nagios后，要开放5666端口与服务器连接：

打开某一个端口：firewall-cmd --add-port=5666/tcp

打开一个范围的端口：firewall-cmd --add-port=1000-1200/tcp

写入配置文件：firewall-cmd --permanent --add-port=5666/tcp

重载防火墙配置：firewall-cmd --reload

2.6 对指定IP开放http服务，如对指定IP开放3306端口

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="172.17.5.1/16" port port="3306" protocol="tcp" accept'

firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.20/24" service name="http" accept'